analyse zur it-sicherheit in energieversorgungs-...

of 45/45
Analyse zur IT-Sicherheit in Energieversorgungs- systemen Forschungsarbeit Robin Jüllig 9. Mai 2013 Fachhochschule Köln

Post on 04-Jun-2018

216 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Analyse zur IT-Sicherheit in

    Energieversorgungs-systemenForschungsarbeit

    Robin Jllig9. Mai 2013

    Fachhochschule Kln

  • Deckblatt

    Name, Vorname: Jllig, Robin

    Kurs: Master Communication Systems and Networks

    Matrikelnummer: 11087125

    Betreuer der Arbeit: Herr Prof.Dr. Waffenschmidt

  • Ehrenwrtliche Erklrung

    Hiermit versichere ich, die vorliegende Studienarbeit selbststndig und ohne Hilfe Dritter angefertigt und nur die angegebenen Quellen verwendet zu haben. Stellen, die aus Quellen entnommen wurden, sind als solche kenntlich gemacht.

    Unterschrift Student Ort / Datum

  • Inhaltsverzeichnis

    Abstrakt Seite 5

    Einleitung Seite 6

    Aufbau der Energieversorgungssysteme Seite 7

    Datenquellen Seite 10

    Schwachstellenanalyse Seite 16

    Daten Seite 16

    bertragungstechniken Seite 21

    Umsetzung der IT-Sicherheit in Energieversorgungsnetzen Seite 23

    Rechtliche Rahmenbedingungen Seite 23

    Technische Probleme Seite 25

    Schutz durch IT-Sicherheit Seite 28

    ISMSSeite 28

    IT-Grundschutz Seite 29

    Tools fr IT Grundschutz Seite 30

    SchlussfolgerungSeite 35

  • AbstractSeit dem Angriff von Stuxnet1 auf Industrieanlagen wurden weltweit immer mehr und immer komplexere Angriffe auf die IT-Systeme und -netzwerke der fr die alltgliche Versorgung ntigen, kritischen Infrastrukturen (KRIS) ffentlichkeits-wirksam verzeichnet2. Bedingt durch die zunehmende Vernetzung von IT- und Versorgungsinfrastrukturen, die wachsende Bedeutung von (Kleinst-) Rechnern bei der Verwaltung und Steuerung von Infrastrukturen und die Entwicklung von Next Generation Networks wie dem Smart Grid knnen Angriffe, die frher einst nur einzelnen Rechnern oder Rechnergruppen galten, heute verheerende Schden ber die Rechnergrenzen hinaus anrichten. Die Symbiose von Energieversorgung und IT-Systemen stellt dabei eine der grten Schwierigkeiten dar. Diese Forschungsarbeit untersucht mgliche Risiken und Gefahren fr Energieversorgungssysteme. Umfassenden Schutz leistet ins Besondere die Verwendung von Informationssicherheits-Management-Systemen3 unter Beachtung des IT-Grundschutzes4., die ausgehend von einer umfangreichen Risikoanalyse mgliche Manahmen zur Vermeidung von Gefahren bereitstellen. Die Aktualitt der Sicherheitsmanahmen wird jedoch durch Cyber-Sicherheitsstrategien5 gewhrleistet. Dadurch kann die breite Masse an Kritischen Infrastrukturen effizient gegen IT-Angriffe abgesichert werden.

    Key Words:

    Energieversorgungssysteme, IT-Security-Management-System, IT-Grundschutz, Cyber-Sicherheit, Notfallmanagement, Datensicherheit, Risikoanalyse

    1 Stuxnet, auch bekannt als RootkitTmphider: Speziell fr das SCADA-System Simantic S7 der Firma Siemens entwickelter Computerwurm, entdeckt im Juni 2010. Schden unter anderem an Zentrifugen zur Urananreicherung in iranischen Kernkraftwerken

    2 http://ibmexperts.computerwoche.de/commerce/artikel/cyber-angriffe-auf-deutsche- organisationen-werden-immer-komplexer, Stand 16.06.2013 vom 04.04.2013

    3 Informationssicherheits-Management-System, kurz ISMS: Ein Managementsystem fr Informationssicherheit legt fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitten nachvollziehbar lenkt. [BSI 1]

    4 IT-Grundschutz: Methodik zur Identifizierung von Risiken in der IT-Umgebung sowie Umsetzung von Sicherheitsmanahmen zur Gewhrleistung eines Mindestsicherheitstandes

    5 Cyber-Sicherheit: Identifizierung und Behebung von kurzlebigen IT-Sicherheitsrisiken bedingt durch Angriffe aus dem virtuellen Raum (Cyber-Realm). http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheitsstrategie/cybersicherheitsstrategie_node.html

    http://ibmexperts.computerwoche.de/commerce/artikel/cyber-angriffe-auf-deutsche-organisationen-werden-immer-komplexerhttp://ibmexperts.computerwoche.de/commerce/artikel/cyber-angriffe-auf-deutsche-organisationen-werden-immer-komplexerhttp://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheitsstrategie/cybersicherheitsstrategie_node.htmlhttp://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheitsstrategie/cybersicherheitsstrategie_node.html

  • EinfhrungDer Wandel von analog gesteuerten Infrastrukturen im Bereich Energie, Gas und Wasserversorgung zu digital Verwalteten ist im vollen Gange [SPC]. Nur noch in einigen Nischen existieren weiterhin Felddienste, bei denen Mitarbeiter im Auenbereich manuell nach Fehler suchen und diese beheben. Der deutlich hhere Anteil an IT-Systemen und -netzen in der Verwaltung und Steuerung von Infrastrukturen macht sich bemerkbar: geringere Personalkosten, schnellere Reaktionszeiten, strkere Untersttzung von Entscheidungsprozessen durch bessere Datenanalyse. Teilweise werden ganze Bereiche der ffentlichen Versorgung teil- oder vollautomatisch betrieben. Doch dadurch steigt auch die Bedrohung solcher Bereiche durch sogenannte Cyber-Angriffe, wie eine aktuelle Studie der OSZE zeigt6. Angriffe also, die ber das Internet auf die IT-Systeme und -netze von Firmen, Versorgern und Behrden ausgefhrt werden und deren Tter am anderen Ende der Welt sitzen knnen [COLLIER][CYBER]. Deutschland ist dabei durch seine viele forschenden Unternehmen, die Aufteilung der Versorgungsdienstleister und seine hohen immateriellen Ressourcen ein lohnendes Ziel, da die vielen (kleinen) Mittelstndischen Unternehmen, Kommunen und Lnder oftmals nicht ausreichend in ihre IT-Sicherheit investieren [WDR] [KRITIS]. Und die Bedrohungsszenarien sind vielfltig. Betrachtet man die vom Bundesamtes fr Sicherheit in der Informationstechnik (BSI) und der Bundesbehrde fr Katastrophenschutz (BBK) erarbeiteten bersicht ber die Branchen und Sektoren von Kritischen Infrastrukturen, so findet man nahezu jeden Bereich des ffentlichen Lebens wieder.

    Sektoren Kritischer Infrastrukturen

    Energie Transport und Verkehr

    Informationstechnik & Telekommunikation Finanz- und Versicherungswesen

    Gesundheit Staat und Verwaltung

    Wasser Medien und Kultur

    Ernhrung

    Sektorenbersicht der Kritischen Infrastruktur7

    6 http://www.golem.de/news/osze-cyberangriffe-koennen-energieversorgung- gefaehrden-1307-100366.html

    7 Nach http://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/Sektoren/sektoren_node.html

    http://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/Sektoren/sektoren_node.htmlhttp://www.golem.de/news/osze-cyberangriffe-koennen-energieversorgung-gefaehrden-1307-100366.htmlhttp://www.golem.de/news/osze-cyberangriffe-koennen-energieversorgung-gefaehrden-1307-100366.html

  • Das ein Bewusstsein fr Cyber-Angriffe in der ffentlichen Meinung entstanden ist, zeigen nicht nur Bcher wie Black Out von Marc Elsberg oder Hollywood Blockbuster wie Stirb Langsam 4.0, in denen IT-Systeme erfolgreich angegriffen werden und das alltgliche Leben lahm legen. Auch die Suchanfragen zum Thema Cyber War, Cyber crime oder Cyber Warfare sind seit 2004 gestiegen und verdeutlichen das ffentliche Interesse8. Seit 2009 ist der virtuelle Krieg sogar offizieller Bestandteil im United States Cyber Command Asset der Vereinigten Staaten von Amerika9. Man geht sogar davon aus, dass cyber war eine hhere Schadenswirkung auf Zivilisten haben kann, als die Bombardements whrend des Zweiten Weltkrieg. Dieses Bewusstsein fr Bedrohungen aus dem Cyber-Space wurde in den USA zuletzt auch immer wieder durch Angriffe auf das veralte Energieversorgungsnetz geschrft. Schlielich stellt ein Stromausfall das Worst-Case-Szenario dar, denn nichts funktioniert mehr ohne Strom [LORENZ]. Die wirtschaftlichen und sozialen Schden eines langanhaltenden Stromausfalles sind enorm [FASE]. Gerade in einem sehr dicht besiedelten Gebiet wie Deutschland stellen Stromausfllen nationale Katastrophen dar und erfordern entsprechende Sicherheitsmanahmen auch in der IT [TAB2].

    In Gesprchen mit Vertretern der Firmen IVU, SecuNet und dem TV Rheinland zeigte sich, dass dieses Bewusstsein fr Cyber-Angriffe und ihre Schden auch im deutschen Mittelstand angekommen ist. Die Umsetzung der notwendigen Investition in Techniken zum Schutz ihrer IT-Systeme werden jedoch noch von einem kleinen Teil gettigt. Es stellen sich zudem regionale und nationale Unterschiede im Umgang mit IT-Sicherheit heraus. Whrend man in London beispielsweise durch mehrere Sicherheitsschleusen muss, um an die kritische IT-Systeme heranzukommen, kommt man in vielen deutschen Stdten oftmals ungehindert an Zugriff zu kritischen Systemen [COLLIER]. Verschrfend kommt hinzu, dass es in Deutschland oftmals zu einer Schweigespirale kommt und sich betroffene Firmen schmen, die Angriffe zu melden10. Notwendige nationale Strukturen zur Hilfe vor und bei Angriffen stehen dabei jedoch zur Verfgung (Cyber-Lagezentrum in Bonn oder Cyber-Kompetenzzentrum NRW), es fehlt jedoch an der notwendigen Meldekultur bei Schadensfllen. Ebenso herrscht eine postventive Mentalitt. Man wartet hufig erst bis zum Ernstfall und beseitigt die dabei entstandenen Schden. Kosten-Risiko-Analysen zur Ergreifung von prventiven IT-

    8 Von Google Trends, Suche nach cyber war und cyber warfare http://www.google.com/trends/explore?q=cyber+war%2C+cyber+warfare#q=cyber%20war%2C%20cyber%20warfare&cmpt=q

    9 http://en.wikipedia.org/wiki/United_States_Cyber_Command

    10 http://www.ftd.de/it-medien/computer-technik/:cyberkriminalitaet-unternehmen- erschweren-schutz-vor-hacker-attacken/70044299.html

    http://www.ftd.de/it-medien/computer-technik/:cyberkriminalitaet-unternehmen-erschweren-schutz-vor-hacker-attacken/70044299.htmlhttp://www.ftd.de/it-medien/computer-technik/:cyberkriminalitaet-unternehmen-erschweren-schutz-vor-hacker-attacken/70044299.htmlhttp://en.wikipedia.org/wiki/United_States_Cyber_Commandhttp://www.google.com/trends/explore?q=cyber+war%2C+cyber+warfare#q=cyber%20war%2C%20cyber%20warfare&cmpt=qhttp://www.google.com/trends/explore?q=cyber+war%2C+cyber+warfare#q=cyber%20war%2C%20cyber%20warfare&cmpt=q

  • Grundschutzmanahmen werden seltenst angewendet [FASE][EIAS]. Die Notwendigkeit zur Wertschtzung der IT-Sicherheit in Netzen ist jedoch gegeben11.

    Um das notwendige Bewusstsein zu schrfen und Lsungen anzubieten, werden in dieser Arbeit die Rolle von Energieversorgungssystemen in der Bundesrepublik als Teil der Kritischen Infrastrukturen betrachtet. Whrend andere Branchen wie Finanzdienstleistung oder Ernhrung ebenfalls eine hohe Rolle spielen, so stellt der Energie- und vor allem der Stromversorgung durch ihre gegenseitige Abhngigkeit von und zu der IT/Telekommunikationsbranche eine Besonderheit dar. Ohne die Stromversorgung fallen die notwendigen Steuerungs- und Verwaltungsrechner aus, welche die Stromversorgung herstellen. Im Schlimmsten Fall fhrt dies zu einem gegenseitigen Dead Lock - einer Pattsituation in der beide Systeme sich gegenseitig blockieren und nicht weiter arbeiten knnen [SCEI].

    Im weiteren Verlauf der Forschungsarbeit wird der Aufbau der Energieversorgung in Deutschland anhand der Stromversorgung erlutert, elementare Schwachstellen der IT-Systeme dargestellt und eine Strategie erarbeitet, in wie weit die vom Bund bereitgestellten IT-Grundschutz- und Cyber-Sicherheitsstrategien eine grundlegende Schutz vor Angriffen auf Energieversorgungssysteme gewhrleisten knnen.

    In dieser Arbeit wird der Begriff Energie mit Strom gleichgesetzt, auch wenn dies Energietrger wie Kohle, l und Gas ausschliet.

    11 http://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Netzbetreiber-sollen-staerker-auf-IT-Sicherheit-achten-1355871530 Stand 16.06.2013 vom 1.6.2013

    http://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Netzbetreiber-sollen-staerker-auf-IT-Sicherheit-achten-1355871530http://www.thueringer-allgemeine.de/web/zgt/leben/detail/-/specific/Netzbetreiber-sollen-staerker-auf-IT-Sicherheit-achten-1355871530

  • Aufbau der Energieversorgungssysteme in Deutschland

    Das Energieversorgungsnetz in der Bundesrepublik Deutschland lsst sich in vier Spannungsbereiche einteilen (siehe Illustration 1):

    1. HchstspannungDer Hchstspannungsbereich beherbergt mit den Atom-, Kohle- und Wasserkraftwerken und Hchstspannungsleitungen die Hauptversorgungselemente. Sie stellen die Aorta und Basis der Energieversorgung dar. Das An- oder Abschalten der Kraftwerke oder -blcke in diesem Bereich ist sehr langsam und kostenaufwendig. Es besteht daher das Interesse diese Kraftwerke mglichst lange am Netz zu lassen. Verbraucher in diesem Bereich sind vor allem Pumpspeicherkraftwerke und Energiespeichersysteme, welche die berschsse in der Energiebereitstellung auffangen und bei Gelegenheit langsam in das Netz zurckspeisen knnen. Potentielle Angriffe auf Anlagen im Hchstspannungsbereich knnen zu enormen Kosten und Schden fhren.

    2. HochspannungIm Hochspannungsbereich befinden sich mit der Eisenbahn und industriellen Groabnehmern energiehungrige Verbraucher. Deren An- und Abschalten kann zu enormen Spitzen im Energieverbrauch und somit hohen Engpssen/berschssen fhren. Industrielle Kraftwerke, die Strom fr den Eigenbedarf der Fabriken produzieren, knnen bei Unterlast hohe Mengen an Strom in das Netz einspeisen. Schwankungen in der Netzlast knnen jedoch mit hohem Verlauf vorausgesagt werden.

    Illustration 1: Aufteilung des Energieversorgungsnetzes in

  • 3. MittelspannungDer Mittelspannungsbereich umfasst neben den Wind- und Solaranlagen auch die stdtischen Kraftwerke beispielsweise Mllverbrennungsanlagen oder geothermal Anlagen. Der enorme Zuwachs solcher Techniken in den letzten Jahren fhrt zu einer deutlichen Dezentralisierung der Energieversorgung und der unabhngig einiger Stdte von den groen Energieversorgern. Die hohe Menge dezentraler Einrichtungen fhrt jedoch zu starken regionalen und nationalen Schwankungen in der Energieversorgung. So knnen unter optimalen Bedingungen mehr als 50% des nationalen Verbrauches der Bundesrepublik durch regenerative Kraftwerke im Mittelspannungsbereich gewonnen werden12. Da die hier verwendeten Anlagen fr die Erzeugung von Energie von einigen wenigen Herstellern sind, stellt dieser Bereich auf Grund seiner Gre und Beschrnkung verwendeter Techniken einen potentiell lohnendes Ziel dar.

    4. NiederspannungIm Niederspannungsbereiche sind vor allem die Hausanschlsse fr Wohnungen und Brorume wieder zu finden. Es gibt in diesem Bereiche viele, kleine Abnehmer und im Vergleich wenige Kleinerzeuger. Angriffe auf Anlagen in dem Niederspannungssektor knnen sich gegen Stadtteile und Orte wenden, um Dominoeffekte zu erzeugen, oder richten sich konkret gegen einzelne Firmen oder Haushalte. Die verwendeten Systeme knnen auf Grund weiter Verbreitung zu lohnenden Angriffszielen werden.

    Zwischen den einzelnen Spannungsbereichen befinden sich Umspannwerke (auch Trafo-Stationen genannt), welche die Spannungen umwandeln (gekennzeichnet durch ineinander verschlungene Kreise).Die zunehmende Produktion von Energie durch Wind- und Solaranlagen in den Nieder- und Mittelspannungsnetzen fhrt zudem zu einer Wandlung einstiger Verbraucherbereiche in Erzeugerbereiche. Hierdurch entstehen neue Daten- und Energieflsse aus diesen Bereichen in die darber liegenden (Bottom-Up) [TAB]. Sowohl das Energie- als auch das Datennetz werden bidirektional, wodurch die Netzelemente reaktive Komponenten besitzen mssen. Dies heit konkret, dass die Energieerzeugung im Stadtbereich durch stdtische Solaranlagen zur Einspeisung von Strom in den Hochspannungsbereich fhren kann. Die Information zur Einspeisemenge muss in den Hchstspannungsbereich weitergeleitet werden, um gegebenenfalls die Abschaltung eines Kraftwerkes oder die Aktivierung von Energiespeichern auszulsen. Eine feindselige Manipulation der in den IT-Systemen und -netzen verarbeiteten Daten

    12 http://www.focus.de/immobilien/energiesparen/kraft-von-26-atomkraftwerken- deutschland-produziert-so-viel-oekostrom-wie-nie_aid_965083.html

    http://www.focus.de/immobilien/energiesparen/kraft-von-26-atomkraftwerken-deutschland-produziert-so-viel-oekostrom-wie-nie_aid_965083.htmlhttp://www.focus.de/immobilien/energiesparen/kraft-von-26-atomkraftwerken-deutschland-produziert-so-viel-oekostrom-wie-nie_aid_965083.html

  • kann somit zu Schden und Kosten jenseits der Netzgrenzen fhren, wenn Bauteile beschdigt werden oder Kraftwerke ineffizient arbeiten [FASE].Durch die neue Dynamik des Energieversorgungsnetzwerkes steigt die Bedeutung der erhobenen Daten. Anhand dieser knnen effektive Vorhersagen getroffen werden, beispielsweise wie wahrscheinlich es ist, dass diverse Verbraucher an- oder Kraftwerke abgeschaltet werden knnen [FORECAST]. Die hheren Datenmengen stellen die vorhandenen IT-Systeme und -netze jedoch vor neue Herausforderungen, da sie zu erhhtem Datenverkehr, schnellerer und prziserer Datenverarbeitung und der Verbesserung der Vorhersagetechniken zu dem Verhalten der Informationsflusses fhren.Bei der Verteilung von Systemen zur Energieversorgung und Datenerhebung wird zudem folgendes Phnomen festgestellt: Je mehr Anwender es in einem Bereich gibt, umso allgemeiner sind die Systeme. Hufig gibt es nur ein paar wenige Dutzend unterschiedliche Hersteller fr Haus- und Broanwendungen. Je weniger Anwender es gibt, umso spezifischer werden jedoch die Anlagen und umso spezifischer werden auch die Angriffe. Fr wenige spezielle Anlagen wird also Expertenwissen bentigt [EIAS]. So ist Stuxnet beispielsweise mageschneidert auf Anlagen der Firma Siemens angesetzt worden13. Dadurch ergibt sich nicht nur ein Schaden fr die befallenen Systeme sondern auch fr die Herstellerfirmen. Mittels eines Angriffes knnen somit auch gezielt mehrere verschiedene Branchen angegriffen und geschdigt werden.

    Datenquellen in Energieversorgungssystemen

    Cyber-Angriffe auf IT-Systeme und -netze verfolgen stets eines von zwei Zielen: Einerseits versucht man durch das Gewinnen von Informationen ber das Opfers mittels Datendiebstahl, Kombinatorik oder Beobachtung des Opferverhaltens die eigene Organisation in eine vorteilhafte Lage zu bringen. Andererseits besteht durch das Stren, Unterbrechen, Einspielen fehlerhafter Informationen oder Zerstrung von Daten und Gerten die Mglichkeit, das Opfer nachhaltig zu schdigen [CYBER]. Durch eine subtile, langanhaltenden Schdigung kann ein Angriff zudem sehr gut vertuscht werden, da oftmals andere Ursachen (Materialermdung o..) zuerst untersucht werden14. Dabei ist es von besonderem Interesse die Daten zu ermitteln, die ein Angreifer fr seine Zwecke verwenden kann. Hierbei sollte zwischen Verwaltungsinformationen und Steuerdaten in dem Energieversorgungsnetz und dem IT-Netz unterschieden werden.

    13 http://www.cs.arizona.edu/~collberg/Teaching/466- 566/2012/Resources/presentations/2012/topic9-final/slides.pdf

    14 http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet

    http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnethttp://www.cs.arizona.edu/~collberg/Teaching/466-566/2012/Resources/presentations/2012/topic9-final/slides.pdfhttp://www.cs.arizona.edu/~collberg/Teaching/466-566/2012/Resources/presentations/2012/topic9-final/slides.pdf

  • Steuerdaten Energieversorgungsnetz IT-Netz

    Nutzen Steuerdaten erlauben es, einzelne Netzkomponenten effizient anzusprechen und zu steuern. Dabei knnen mechanische Elemente beispielsweise Schlieventile angesprochen oder Transformatoren ans Netz angeschlossen werden.

    Mittels Steuerdaten wird der Informationsfluss im Netz gewhrleistet. Komponenten knnen hinzugefgt, entfernt oder gendert werden.

    Risiko Sofern Steuerdaten nicht richtig, gar nicht oder mehrfach angekommen, wird ein falscher Effekt erzeugt, das Element rea-giert gar nicht oder reagiert mehrfach. Dadurch wird es unsachgem bedient, es kann zu Schden an der Komponente und angeschlossenen Elementen kommen. Ausgefallene Komponenten knnen zum Ausfall der IT-Systeme zur Steuerung des Energienetzes fhren.

    Fehlerhafte Befehle knnen zu einer unsachgemen Bedienung fhren. Im schlimmsten Fall werden Einstellungen gelscht, sodass die ber das IT-Netz vermittelten Steuerdaten fr das Energieversorgungsnetz nicht mehr bei deren Komponente angekommen.

    Illustration 2: Illustration 2: Die Datenebenen in Energieversorgungs- (gelb) und IT-Netzwerken (wei)

  • Verwal-tungs-informationen

    Energieversorgungsnetz IT-Netz

    Nutzen Die Erhebung und Verarbeitung von Verwaltungsdaten kann in Optimierungsprozessen zur Steigerung der Effizienz sowie fr ein genaueres Vorhersagemodell verwendet werden. Somit knnen Steuerdaten bestmglich konfiguriert werden.

    Zudem knnen wichtige Informationen ber den Zustand der Gerte, des Energieflusses und fr die Abrechnung gewon-nen werden. Es besteht die Mglichkeit zur Fernwartung und Fehlersuche /-behebung.

    Zur optimalen Verwendung des Netzwerkes und der Routingverfahren werden Verwaltungsinformationen bentigt. Mittels einfacher Protokolle knnen dabei der Stand und die Auslastung des Netzwerkes erfasst werden.

    Zudem knnen wichtige Informationen ber den Zustand der Gerte, des Energieflusses und fr die Abrechnung ge-wonnen werden. Es besteht die Mglichkeit zur Fernwartung und Fehlersuche /-behebung.

    Risiko Fehlende Daten bei der Abrechnung knnen zu Verlusten in der Bilanz fhren. Ineffiziente Prozesse bei Optimierung und Vorhersage von Nutzerverhalten resultieren in einem nicht optimalen Netz und knnen gegebenenfalls in einer Unterver-sorgung enden.

    Fehlerhafte Daten beim Management des Netzes resultieren oftmals in einem schlechteren Netzverhalten und verringerte Qualitt der Dienstleistungen. Diese knnen in darber liegenden Anwen-dungen zu Problemen fhren (Datenverlust, Fehlerhafte Daten).

    In der folgende Grafik werden exemplarisch die Daten dargestellt, die in mittelgroen Hausanschlssen (Mehrfamilienhaushalt, Brogebude) anfallen. Diese Daten knnen abstrahiert auf alle anderen Bereiche angewendet werden, da es sich hierbei um einfach Verbraucher beziehungsweise Erzeugerdaten handelt. So kann die Heizung im Einfamilienhaushalt auch fr ein elektrisch gesteuertes Lagerverwaltungssystem in einem kleinen mittelstndischen Unternehmen stehen. Die Grafik dient vor allem der Trennung von Daten, die der Energieversorger, der Eigentmer der Immobilie und der Kunde bentigen.

  • Dadurch entstehen Schnittstellen, die im spteren Verlauf der Arbeit betrachtet werden.

    Wie in Illustration 3 zu erkennen, treten im Niederspannungsbereich bereits etliche Datenquellen auf, welche fr den Energieversorger, Netzbetreiber und Kunden von unterschiedlicher Bedeutung sind. Deutlich zu erkennen sind einzelne Haushalte (beispielsweise Haushalt 1) mit verschiedenen Verbrauchern sowie Prozessen, die sich aus den Verbrauchern ableiten lassen. Diese Prozesse knnen fr Angreifer von Interesse sein. Sofern der Angreifer beispielsweise feststellt, dass das Licht im Wohnzimmer ber lange Zeit nicht mehr verwendet wurde, kann er auf einen Leerstand der Wohnung schlieen und gegebenenfalls einbrechen. Die Gerte und Prozesse in Illustration 3 sind exemplarisch. So kann der Khlschrank im Haushalt 1 auch fr eine Dampfturbine in einem Kohlekraft der Hchstspannungsebene stehen und der Prozess Haushaltsbuch fr eine Produktionsprozess bei einem industriellen Groabnehmer. Ein Groteil wichtiger Geschftsprozesse in Familien oder Firmen wirkt sich indirekt auf den Stromverbrauch aus. Die berwachung der Energieversorgung kann somit zu Rckschlssen auf laufende Prozesse fhren15. Fr den Angreifer sind in diesem Fall die Verwaltungsinformationen von Interesse, die aber auch dem Kunden zur Verfgung gestellt werden. Die folgende Tabelle vergleicht den Nutzen und das Risiko erhobener Verwaltungsdaten fr den Kunden:

    15 Seitenkanalangriff: Bei einem Seitenkanalangriff auf elektrische Komponenten versucht man beispielsweise ber den Energieverbrauch oder Wrmentwicklung herauszufinden, welche Komponente aktiv sind und wie man auf einen Prozess zurckschlieen kann.

    Illustration 3: Datenaufkommen in den Spannungsbereichen (exemplarisch im Niederspannungsbereich)

  • Verwaltungs-informationen

    Messhufigkeit

    Nutzen fr den Kunden Risiko bei Angriff

    Erzeugter Strom

    Echtzeit (3-5min)

    ergibt sich aus Summierung:Stndlich, Tglich, wchentlich, Monatlich, jhrlich, .

    + Der Kunde wei, wie viel Strom er erzeugt+ er kann ermitteln wie viel CO2 er spart oder wie viele Zertifikate er verkaufen kann+ er kann ermitteln, wie viele Kosten er spart, wenn er htte Strom zukaufen mssen

    - Der Angreifer wei, wie viel Strom erzeugt wird- er kann gegebenenfalls CO2 Kufe manipulieren- er kann ermitteln, wie wichtig das potentielle Opfer fr die Stromversorgung auf dieser Schicht ist

    Verbrauchter Strom

    Echtzeit (3-5min)

    ergibt sich aus Summierung:Stndlich, Tglich, wchentlich, Monatlich, Jhrlich, .

    + Der Kunde wei, wie viel Strom er verbraucht+ er kann ermitteln wie viel CO2 er erzeugt oder wie viele Zertifikate er kaufen muss+ er kann ermitteln, wie viele Kosten er spart, wenn er htte Strom selbst erzeugen wrde + er kann seinen Verbrauch abschtzen und Prozesse entspre-chend auslegen

    - Der Angreifer wei, wie viel Strom verbraucht wird- er kann gegebenenfalls CO2 Kufe manipulieren

    - er kann ermitteln, welche Rolle das Opfer fr den Stromverbrauch dieser Schicht spielt- er kann den Verbrauch und laufende Prozesse abschtzen

    Eigenbe-darfsdeckung

    Vergleichend: Er-zeugung/Ver-brauch

    + Der Kunde kann seine Abhngigkeit vom Strommarkt abschtzen+ Er kann seine Kosten bzw. Ertrge durch Verbrauch bzw. Er-zeugung abschtzen

    - Der Angreifer kann die Abhngigkeit des Opfers von seinen eigenen Erzeugern ermitteln- Sabotage der Erzeuger und Leistungsminderung dieser kann zu hohen Schden fr das Unterneh-men fhren i.B. bei hoher Eigenbedarfsdeckung

    Durchfluss Echtzeit + Der Kunde kennt den Energiefluss in seinem Unternehmen+ Er kann ermitteln welche Komponenten zu- oder abgeschaltet werden knnen/mssen

    - Der Angreifer kennt den Energiefluss in dem Unternehmen- Er kann kritische Komponenten ermitteln und schdigen

  • Daten fr die Vorhersage

    + Der Kunde kann seine eigenen Prozesse beobachten und daraus Rckschlsse auf den Strommarkt entwickeln. Anhand dieser kann er sein Verhalten anpassen+ Kurzfristige Schwankungen knnen vorhergesagt und pr-ventiv angegangen werden

    - Der Angreifer kann das Verhalten des Opfers beobachten und es in gefhrliche Situationen zwingen (bspw .durch Fehlinformationen)

    - Kurzfristige Schwankungen knnen vorgetuscht werden

    Daten fr die Optimierung

    + Der Kunde kann aus seinem Verbrauch/Erzeugung ermitteln, wann er Strom billig kaufen/ teuer verkaufen kann+ er kann seine Prozesse an den Strommarkt anpassen

    - Der Angreifer kann aus dem Verbrauch/Erzeugung ermitteln, wann Strom billig gekauft/ teuer verkauft werden muss. Eine Strung des Stromhandels fhrt zu hohen Kosten bei dem Opfer.- er kann die Abhngigkeit der Prozesse von dem Strommarkt ermitteln und ausnutzen, um sie in-effizient zu machen

    Aufwand/Ertrag

    + Der Kunde kann Echtzeitdaten ermitteln und diese in seine Bilanz / Haushaltsplanung ber-nehmen

    - Der Angreifer kennt die genaue Marktposition seines Opfers- Er kann Haushaltsplanung und Bilanz in Echtzeit negativ beeinflussen

    Um dem potentiellen Opfer direkte Schden beizufgen oder um Kontrolle ber Netzelemente des Energieversorgungs- oder des IT-Netzwerkes zu erhalten, bentigt der Angreifer die Steuerdaten. Die folgende Tabelle vergleicht den allgemeinen Nutzen und das Risiko verwendeter Steuerdaten fr das Energie- und IT-Netz aus Sicht des Kunden:

  • Steuerdaten Messhufigkeit

    Nutzen fr Kunden Risiko bei Angriff

    Zustand der Komponenten

    Echtzeit + Der Kunde wei jederzeit, welche Netzkomponente sich in welchem Zustand be-findet

    + Der Zustand beschreibt dabei neben dem Status (aktiv, inaktiv, warte auf Antwort usw.) auch die auf der Transportebene anliegende Daten bspw. den Energiedurchsatz / Stunde

    + Durch Fernzugriff knnen Fernwartungen durchgefhrt werden

    - Der Angreifer kommt in den Besitz wichtiger Informationen fr den Betrieb des Netzwerkes

    - Er kann zudem den Zustand des Transportnetzes ermitteln und die Wegfhrung (Routing) im Transportnetz verndern

    - Durch das Einspeisen von Fehlinformationen kann er zu Kritischen Gefhrdungen fr das Netz fhren

    Instandhal-tungstermine/Intervalle

    Bei Bedarf, auf Abfrage

    + Der Kunde kennt den Wartungszustand seiner Komponenten

    + Er weiss, welche Komponenten welchen Verschlei aufweisen und kann Ersatz vorbestellen

    + Er kann Komponenten maximal ausnutzen, in dem er sie optimal betreibt

    - Der Angreifer kann den Wartungszustand der Gerte manipulieren

    - Er weiss, welche Kompo-nenten verschleianfllig sind und kann teure oder fr das Netz neurale Komponenten gezielt schdigen

    - Durch Fehlinformationen kann er zur ber-/ Unterlas-tung von Komponenten fhren und damit Schden hervorrufen

    Probleme / Fehlermel-dungen

    Echtzeit, reaktiv

    + Der Kunde kann Probleme in seinem Netzwerk ermitteln und darauf reagieren

    + Er kann den Fehlerstatus von Komponenten einsehen und diese austauschen

    + Hufige Probleme und Fehler knnen effektiver

    - Der Angreifer kann Fehler und Meldungen ermitteln, diese duplizieren und erneut einspielen

    - Er kann Fehlerstatus von Komponenten einsehen und verndern

    - Durch die Analyse der Fehler knnen Dominoeffekte festgestellt

  • behoben werden

    + Man kann bereits aus der Ferne potentielle Fehlerquellen ermitteln

    + Die Fehlersuche im Netz kann per remote erfolgen

    und ausgelst werden

    - Potentielle Fehlerquellen knnen virtuell erzeugt werden

    Fehler in Steuerdaten

    Bei Bedarf, auf Abfrage

    + Der Kunde kann erkennen, ob seine Steuerdaten unverflscht bei der Komponente angekommen

    + Er kann erkennen, was fehlerhafte Steuerdaten auf den Komponenten fr Fehler anrichten.

    - der Angreifer kann Angriffe in Steuerdaten tarnen oder Steuerdaten einfach manipulieren, so-dass Kommandos nicht ankommen.

    Netzwerk-qualitt

    Bei Bedarf, auf Abfrage

    + Der Kunde kennt den Status seines Netzwerkes

    + Er kann Aussagen darber treffen, wie gut sein Netzwerk funktioniert

    + Er kann anhand der vorhandenen Daten sein Netzwerk hinsichtlich Ausfallsicherheit, Risiken und Effizienz optimieren

    + Wichtige Informationen wie Durchsatz, temporre Spitzen, Verzgerungen und Durchsatzstrke knnen ermittelt werden

    - Der Angreifer kennt den Status des Netzwerkes

    - Er kann kritische Stellen im Netzwerk finden und gezielt angreifen

    - Wichtige Informationen ber das Netzwerk und seine Effizienz knnen gestohlen oder miss-braucht werden

    Routing-/ Traffic informationen

    + Der Kunde erhlt wichtige Informationen ber die Wegfhrung (Routing) und den Verkehr (Traffic) in seinem Netzwerk

    + Er kann den Durchfluss in seinem Netz ber andere Wege umleiten

    - Der Angreifer erhlt wichtige Informationen ber die Wegfhrung und den Verkehr im Netzwerk des potentiellen Opfers

    - Er kann den Durchfluss ber schlechtere Wege umleiten und dort zu Verstopfungen und Eng-

  • + Optimale Wege fhren zu einer Verbesserung des Netzwerkes

    + Schwankungen im Netzdurchsatz knnen erkannt und behoben werden

    + Streffekte knnen lokal eingegrenzt und dort behoben werden

    + Im Netzwerk kann das Wegfhrungsverhalten vorhergesagt und optimiert werden

    pssen fhren

    - Schwankungen im Netzdurchsatz knnen erzeugt werden und zu Strungen fhren

    - Das Wegfhrungsverhalten kann durch fehlerhafte Daten negativ beeinflusst werden und zu Stref-fekten fhren.

    Anzahl und Art von IT-Angriffen

    Bei Bedarf, auf Abfrage

    Echtzeit, reaktiv

    + Der Kunde kann sein Netzwerk berwachen und Angriffe kategorisieren

    + Dadurch knnen IT-Sicher-heitsmanahmen angemessen eingesetzt werden

    Die oben beschriebenen Vor- und Nachteile gelten in den jeweiligen Netzwerken fr eine Vielzahl an Komponenten. Durch die hohe Anzahl dieser entsteht ein grerer Verwaltungsaufwand, der jedoch teilautomatisch verwendet werden kann. Da hnliche Komponenten hufig ber das gesamte Netzwerk verwendet werden, steigt die Angriffsflche und damit die Erfolgsaussicht eines Angreifers. Es bietet sich daher an, ein ganzheitliches Informations-Sicherheits-Management-System (ISMS) zu verwenden, dass beiden Netzwerke IT- und Energieversorgungsnetz- umfassend abbildet und sichert.Hierfr bietet sich jedoch zunchst eine Schwachstellenanalyse an.

    Schwachstellenanalyse

    In heutigen Netzwerken spielen ins Besondere drei Datentypen eine entscheidende Rolle. Ihr Verlust oder ihre Manipulation knnen zu einem enormen Vertrauensverlust, zu hohen Schden an Mensch, Material und Maschine sowie diversen Kosten fhren.

  • 1. Personenbeziehbare DatenUnter Personenbeziehbaren Daten versteht man die kleinste, disjunkte Datenmenge, welche eineindeutig einer juristischen oder reell existierenden Person zugeordnet werden kann16. Die Korrelation von Eigentmer und Daten fhrt zu einem genauen Abbild des Verhaltens. Neben persnlichen Daten wie Adresse und Geburtstag gelten auch Kontodaten und IP-Adressdaten als personenbeziehbaren Daten. Der Verlust solcher Datenstze fhrt zu einem hohen Misstrauen und folglich zu einem Ansehensverlust der Firma. Die Erhebung, Verarbeitung und Verwendung von personenbeziehbare Daten unterliegt dem Datenschutzgesetz .In Energieversorgungsnetzen knnen mehrere Bereiche klar abgetrennt werden:

    1. Heim- EbeneAuf der Heimebene wird der kleinsten Bereich der Datenerhebung dargestellt. Hier sind Privat- und Firmenkunden zu finden, die in ihren Haushalten, Bros oder Fabriken verschiedenste, fr sie immens bedeutsame Informationen erzeugen. Diese knnen fr sie von besonderem Interesse sein und sollten in der Regel nicht die eigenen vier Wnde verlassen. Diese Abschottung des Privathaushaltes wird in letzter Zeit durch einheitliche Smart Home / Smart Office Lsung groer Energiekonzerne aufgeweicht. So ist bei Lsungen aus einer Hand beispielsweise von RWE oder Siemens fraglich, welche Daten diese zustzlich erheben und an ihre Firmenzentralen weiterleiten. Es bietet sich an, den Heim-Bereich getrennt zu betreiben und eine klare Schnittstelle nach oben zu definieren. 2. GebudeebeneIn einem Gebude treffen ein oder mehrere Heimebene aufeinander. Whrend fr den Gebudebetreiber der Verbrauch einzelner Untermieter interessant ist, mssen fr die hheren Netzebenen solche Informationen nicht von besonderem Interesse sein. Die Verwaltung des Gebudes selber kann als weiterer Heimbereich modelliert werden. Erste Lokale Schwankungen knnen auf dieser Ebene geglttet werden, indem der Gesamtverbrauch des Gebudes zu Spitzenzeiten ermittelt wird.

    16 Nach http://www.gesetze-im-internet.de/bdsg_1990/__3.html

    http://www.gesetze-im-internet.de/bdsg_1990/__3.html

  • 3. Block-/Orts-/StadtteilebeneIn diesem Bereich sind die Informationen bereits so grob granular, dass man nicht mehr auf einzelne Personen schlieen kann. Jedoch knnen noch gezielt einzelne Gebude oder Fabrikstandorte berwacht und angegriffen werden. Hauptverbraucher und Spitzenzeiten lassen sich in diesem Bereich bereits sehr gut

    ermitteln.

    Es bietet sich an, auf den verschiedenen Ebenen bereits zu anonymisieren und Personen- von Verwaltungs- und Steuerdaten getrennt zu halten. Die bentigten Daten zur Abrechnung liegen dann beim Dienstleister vor und fallen in seinen Schutzbedarf.2. Neurale Daten des Unternehmens

    Unter neuralen Daten eines Unternehmens werden smtliche Informationen verstanden, die fr den tglichen Geschftsbetrieb von Nten sind. Ebenso werden all jene Daten als neural gewertet, die kritisch fr laufende Geschftsprozesse sind und deren Entwendung im schlimmsten Fall zur Insolvenz oder sofortigen Schlieung fhrt. Darunter fallen beispielsweise die Dokumentation der Geschftsprozesse, smtliche Daten zur korrekten Kostenerhebung und -abrechnung, Wartungsstechnische Informationen, Sicherheitsrelevante Daten und natrlich Kundendaten. Ein Groteil dieser Daten luft in den jeweiligen Schaltelementen der Energieversorgungs- und IT-Netze sowie den Netzwarten zusammen.

    Illustration 4: Personenbeziehbare Daten

  • 3. Erweiterte Datenstze

    Erweiterte Datenstze dienen in Unternehmen dazu, Prozesse zu analysieren, das Verhalten einzelner Komponenten vorherzusagen und den gesamten Geschftsprozess zu optimieren. Die Datenbasis, welche die Organisation gesammelt hat, gilt es daher vor Fehlern zu schtzen. Jedoch werden auch solche Informationen zu den erweiterten Datenstzen gezhlt, welche eine Aussage ber die Autarkie oder die Abhngigkeit des Unternehmens von anderen machen. Hierzu zhlen beispielsweise Lieferketten, Engpsse und das Business Continuity Management. Daher wird unterscheiden zwischen:

    1. Datenbasis2. Gte der Algorithmen zur Datenanalyse und zur Vorhersage von

    Verhalten3. Art und Anzahl von Fehlern

    1. im Energieversorgungsnetz2. im IT-Netzwerk3. in den Algorithmen und der Datenbasis

    4. Grad der Autarkie1. Unabhngigkeit von Lieferanten2. Grad Deckung von verbrauchten und erzeugtem Strom3. Redundanzen im Netzaufbau

    Illustration 5: Neurale Informationen in einem Energieversorgungsnetzwerk

  • Diese Daten werden in den Schaltzentralen und Netzwarten erhoben. Auch einzelne Trafostationen knnen diese Daten erfassen, senden sie aber zeitnah an die Zentralen weiter.

    bergangselemente zwischen einzelnen Netzwerken werden in der Regel beiden Bereichen zugerechnet. Ein Transformator unterliegt als Schnittstellenelement somit sowohl Regelungen fr den Nieder- als auch Mittelspannungsbereich. Die Rolle von bergangselemente sollte im Rahmen der Schwachstellenanalyse gesondert betrachtet werden, da sie einen Single Point of Failure (SPOF) darstellen. Hierunter fallen Haushaltsanschlsse, Hausanschlsse und Transformatoren sowie entsprechende Elemente im IT-Netzwerk.

    Illustration 6: bergangselemente und ihre Bedeutung als Single Points of

    Illustration 7: Schwachstelle Tunneling

  • In einigen Fllen ist es von Nutzen, auf die Daten per Fernzugriff (Remote Access) zuzugreifen. Darunter fllt im Endkundenbereich vor allem die Mglichkeit die zentrale Heimsteuerung anzusprechen, um Licht, Jalousien, Heizung oder Endgerte via Handy oder vom Arbeitsplatz aus zu steuern. Im Bereich der Energieversorgungssysteme kommt zudem hinzu, dass durch Fernwartung und Abfrage von Verwaltungsdaten verschiedene Geschftsprozesse vereinfacht werden, die von einer oder mehreren Netzwarten aus der Ferne ausgefhrt werden knnen. Fr diese Verbindungen ist zu beachten, dass die verschiedenen Systeme ber das Internet oder ein eigenes IT-Netz weiterhin ansprechbar bleiben und somit auch fr Angriffe anfllig sind. Hier knnen diverse Techniken zum Tunneln des Verkehrs von Steuer- und Verwaltungsdaten angewendet werden, um den Kommunikationskanal zu sichern. Diese Kanle stellen dennoch Schwachstellen dar, da eine unsachgeme Konfiguration leicht zu Einbrchen in das gesamte IT-Netz fhren kann17 .

    Somit sind nicht nur Endsysteme als Schwachstellen im Netzwerk zu betrachten, sondern auch die Verbindungskanle. Whrend die Energieversorgungssysteme diesbezglich mit wenigen Lsungen fr rein physische Probleme auskommen, bieten IT-Netze ein Vielzahl unterschiedlicher Techniken zur Datenkommunikation an [SMCS], welche kurz hinsichtlich ihrer Vor- und Nachteile, sowie den Anwendungsszenarien betrachtet werden:

    Funkbertragung

    Vorteil Nachteil Anwendungsszenario

    868 Mhz + vielfltige Lsungen, da 868Mhz Band nicht reguliert ist und somit fr Open Source Anwendungen verwendet wird

    + breite Community bei Lsungen wie ZigBee ([WALLRAFF]) Funk

    - geringe Bandbreite und Durchsatz zur Datenbertragung, schlecht geeignet fr IPv6 Lsungen, da starker Overhead des IP Headers

    - Interferenzen mit anderen Anwendungen im 868Mhz Bereich

    - kurze Reichweite

    Heimanwen-dung (RWE Smart Home, ), Kurz-streckenfunk, Hausvernetzung

    GSM + Mobilfunktechnik

    + ausreichender Durchsatz fr kleinere Abfragen

    + billige Implementierung

    - bertragung von IP Paketen sehr schwer, dh. bersetzung von Befehlen in IP

    - angreifbar, Daten knnen bereits mit wenig

    Vernetzung von mobilen Stationen und Ad Hoc Netzwerken, Im-plementierun

    17 http://www.heise.de/security/artikel/Einbruch-ins-VPN-270592.html

    http://www.heise.de/security/artikel/Einbruch-ins-VPN-270592.html

  • + wird in Smart Metern und einigen Trafo-Stationen im Auenbereich bereits eingesetzt

    Ausrstung ermittelt werden18

    - Kosten der Rahmenvertrge mit Mobilfunkprovidern

    g in Smart Metern der ersten Ge-neration

    UMTS / LTE

    + Mobilfunktechnik

    + Durchsatz fr Umfangreiche, gebndelte Abfragen

    + bertragung von IP Paketen mglich, knnen somit getunnelt und an die Module einfach weitergeleitet werden.

    + Sicherer gegen Angriffe

    + Fernwartung und Aufspielen von Software Updates mglich

    - teurer

    - wenige Implementierungen bekannt

    - Deckung, dh. nicht berall unbedingt einsetzbar

    - Starke Abhngigkeit von Mobilfunkprovidern

    Vernetzung mobiler Stationen und Ad Hoc Netzwerken in Siedlungsdichten Gebieten

    WLAN + Sehr hoher Datendurchsatz (bis 600Mbit/s)

    + billig

    - Setzt DSL Anschluss voraus

    - nur sicher unter WPA

    - in Firmennetzwerken wird von Verwendung meist abgesehen

    - grtmgliche Einstiegsstelle fr unbemerkte Angriffe

    Heim- und Hausvernetzung

    Man kann deutliche Unterschiede zwischen einer lokalen und einer berregionalen Verwendungen von Funkbertragungstechniken erkennen. Techniken im Bereich der Heimebene (auch Home Area Network, HAN gennant, [WALLRAFF]) verwenden das 868MHz Band beziehungsweise das 2,4GHz / 5GHz Band und bieten sich fr lokale Dienste wie ZigBee oder WLAN an. Sofern die Entfernung grer werden, kommen meist GSM Techniken zum Einsatz, die zwar billiger, aber fr Angreifer auch leichter zu attackieren sind als UMTS/LTE.

    18 http://myassgeek.wordpress.com/2011/07/31/how-hackers-hack-gsm-phones/

    http://myassgeek.wordpress.com/2011/07/31/how-hackers-hack-gsm-phones/

  • bertra-gung via Kabel

    Vorteile Nachteile Anwendungsszenarien

    Power Line Communication

    + verwendet die vorhandene Stromversorgung

    + wird in Heimanwendungen und einigen Smart Meter Techniken bereits verwendet

    - Reichweite

    - unbekannte Auswirkung der Spannungsschwankungen auf empfindliche Komponenten

    - keine Ausfallsicherheit

    Hausanwendung bis Blockebene

    Ethernet + Gnstige im Nahbereich

    + Gutes Preis/Leistungsverhltnis

    + Power via Ethernet zur Versorgung kleiner Komponenten mglich

    - Ziel auch fr Kupferdiebe

    - begrenzte Reichweite

    Heim- und Nahbereich

    Glasfaser + sehr hoher Datendurchsatz - sehr teuer Stadtbereich aufwrts

    Die Datenbertragung ber Kabel besitzt den Vorteil, dass im Vergleich zu Funktechniken, deutlich mehr Daten bertragen werden knnen. Dadurch ist es den Netzbetreibern mglich deutlich mehr Verwaltungsdaten zur Optimierung ihrer Netzwerke zu sammeln. Zudem knnen Fernwartungs- und Fernsteuerungsmethoden sicher verwendet werden, weil Netzausflle sehr selten sind. Problematisch ist lediglich die gegenseitige Abhngigkeit von Strom- und Kabelbertragungsnetz. Verstrker in den IT-Netzen bentigen notwendigerweise Strom. Sollte dieser von dem Stromnetz geliefert werden, dass sie steuern, kann der Ausfall des einen Netzes den Ausfall des anderen Netzes bedeuten.

    Um die Kosten niedrig und das IT-Netzwerk dennoch funktional zu halten, lassen sich meist vorhandene IT-Netzwerke groer IT-Betreiber verwenden. Notfalltechniken basierend auf UMTS und GSM knnen beim Ausfall des Stromnetzes die notwendigen Daten bermitteln. Groe Energieversorger und Netzbetreiber knnen es sich zudem leisten, eigene IT-Netze aufzubauen, die einzig fr ihre Versorgung dienen und somit unabhngig vom Internet sind. Im Wide Area Network Bereich (Stadtbereich) knnen zudem Kooperationen mit den IT-Dienstleistern oder Hausbesitzern eingegangen werden, um vorhandene Netze zu verwenden. Dafr gilt es jedoch rechtliche Aspekte zu klren. Andernfalls knnen Power Line Communication Techniken die notwendige Datenbertragung im Stadtbereich zur Verfgung stellen, sofern die Ausfallsicherheit des Daten- und Energienetzes gegeben ist [SCMS].

  • Umsetzung der IT-Sicherheit in EnergieversorgungsnetzenNachdem ausfhrlich dargelegt wurde, welche Bedenken es bei dem Betrieb eines Kommunikationsnetzes fr Energieversorger zu beachten gilt, knnen mgliche Lsungsszenarien entwickelt werden.Da mit der Verabschiedung des Energie-Wirtschafts-Gesetz (EnWG) auch rechtliche Aspekte hinsichtlich IT-Sicherheit und Datenschutz benannt wurden, stehen zunchst die Rechtlichen Rahmenbedingungen im Mittelpunkt. Anschlieend folgt die Erluterung verschiedener Schutzszenarien und (inter-)nationale Standards sowie die Unterscheidung zwischen IT-Grundschutz und Cyber-Sicherheit [CYBER]. Mgliche Untersttzende Werkzeuge zur Modellierung und berprfung der IT-Sicherheit werden unter dem Punkt ISMS zusammengefasst, ehe der Markt hinsichtlich verwendbarer Software analysiert wird.

    Rechtlicher RahmenbedingungenDas Energiewirtschaftsgesetz (EnWG) wurde mit in Kraft treten zum 07. Juli 2005 eingefhrt, um eine mglichst effiziente und umweltvertrgliche leistungsgebundene Versorgung der Allgemeinheit mit Elektrizitt [..], die zunehmend auf erneuerbaren Energien beruht [zu sichern] [ENWG]. Die aktuellste Version stammt vom 21.2.2013 und dient als Grundlage. Es stechen hierbei vor allem zwei Punkte heraus:1. Erfassung, Verarbeitung und bertragung sensibler DatenIn den Paragraphen 6a Verwendung von Informationen und ins Besondere den Paragraphen 21c Einbau von Messsystemen, 21d Messsysteme, 21e Allgemeine Anforderungen an Messsysteme zur Erfassung elektrischer Energie und 21g Erhebung, Verarbeitung und Nutzung personenbezogener Daten wird die Bedeutung der Vertraulichkeit wirtschaftlich sensibler Informationen ([ENWG], 6a) und personenbezogener Daten erwhnt. Fr die genaue Ausgestaltung und Umsetzung wird jedoch auf Rechtsverordnungen nach 21i verwiesen. Durch eine mangelnde Aktualitt dieser Rechtsverordnungen kann es zu Lcken in der Umsetzung der Manahmen und Gewhrleistung der IT-Sicherheit kommen. Zudem wird dem Netzbetreiber durch technische und wirtschaftliche Machbarkeit die Mglichkeit offenbart, fehlende Sicherheit und Sorgfalt mit wirtschaftlichem Interesse zu begrnden. Mit Einhaltung des 11 Bundesdatenschutzgesetz und Beachtung des 43 BDSG (nach [ENWG] 21g (4) ) kann die Erhebung und Verarbeitung personenbezogener Daten zudem an Drittdienstleister. weitergegeben werden. Mit diesen Einschrnkungen im Hinterkopf wird das Thema Datenschutz ausgelagert. Der Gesetzgeber behlt sich nderungen vor.

  • 2. Technischer Betrieb des EnergieversorgungsnetzesParagraph 11 Betrieb von Energieversorgungsnetzen, Absatz 1 definiert, dass Betreiber von Energieversorgungsnetzen ein sicheres, zuverlssiges und leistungsfhiges Energieversorgungsnetz diskriminierungsfrei zu betreiben, zu warten und bedarfsgerecht zu optimieren, zu verstrken und auszubauen haben, soweit es wirtschaftlich zumutbar ist. (1a) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen fr Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Regulierungsbehrde erstellt hierzu im Benehmen mit dem Bundesamt fr Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen [KS] und verffentlicht diesen. Jedoch wird auch hier nur ein angemessener Schutz vermutet. Die Schutzziele werden ebenfalls durch den Wirtschaftlichkeit-Aspekt relativiert. So entstehen bereits im Gesetz technische Probleme zum Beispiel bei der verwendeten Verschlsselung von Daten. Ziel ist es, dass nur der Sender und der Empfnger die Daten lesen knnen. Whrend fr Messsysteme und die bertragung von personenbezogenen Daten in allgemeinen Kommunikationsnetzen eine Verschlsselung nach Stand heutiger Technik verbindlich vorgeschrieben ist (Paragraph 21e (3) ) gilt das nicht fr den Betrieb eigener Kommunikationsnetze oder die bertragung von Daten auerhalb der Messsysteme. Die genauen Vorgehensweisen mssen aus Sicherheitskatalogen entnommen werden, deren Aktualitt nicht immer gegeben ist.Es stellt sich allgemein das Problem heraus, dass die Notwendigkeit von IT-Sicherheit bekannt ist, aber weiterhin an andere Stellen abgetreten wird. Der Katalog von Sicherheitsanforderungen nach 109 Absatz 6 Telekommunikationsgesetz (TKG) der Bundesnetzagentur ist mit der Verffentlichung im Amtsblatt Nr. 8 am 08.05.2013 in Kraft getreten. Die Planung und Umsetzung der technischen Vorkehrungen und sonstigen Manahmen zur Erfllung der Verpflichtungen nach 109 Absatz 1 und 2 und die Erstellung des Sicherheitskonzeptes gem 109 Absatz 4 Satz 1 kann auch auf der Basis anderer geeigneter Standards, Normen (z.B. -Standards, -Grundschutzkataloge, DIN ISO/-Normen) erfolgen. Die Einhaltung der Verpflichtungen nach 109 Absatz 1 bis 4 ist hierbei jedoch sicherzustellen.[BNA]Da die ISO Norm 27001 und die IT-Grundschutz des BSI umfangreicher sind und auch Aspekte des Datenschutzes beachten, sollte ein BSI konformes ISMS verwendet werden. Der Sicherheitskatalog umfasst die elementaren Gefhrdungen fr die Telekommunikationsnetze.

  • Technische ProblemeNeben den Rechtlichen Rahmenbedingungen gilt es aber auch den aktuellen Stand der Technik zu bercksichtigen. Starke Vernderungen ins Besondere im Bereich der bertragungstechniken fhren hufig zu unsicheren Systemen. Eine fehlerhafte Konfiguration zwischen bertragung und Anwendungen kann zudem weitere Schwachstellen offenbaren. Die Auswirkungen technischer nderungen werden anhand der Smart Meter, die stellvertretend fr weitere Sensoren im Auendienst herangezogen werden knnen, deutlich.

    Smart MeteringDie Umsetzung des EnWG und der bergang von analoger zu digitaler Messtechnik begnstigt den Einsatz sogenannter intelligenter Zhler (Smart Meter). Sie ermitteln den Energieverbrauch und die Nutzungszeit in Intervallen und melden mindestens einmal tglich die Daten einer Institution zur Erfassung und Abrechnung des Energieverbrauches. Whrend die digitalen Zhlgerte der ersten Generation eine Einwegkommunikation zur Zentrale aufbauten, besitzen die Smart Meter heutzutage die Mglichkeit einer bidirektionalen Kommunikation und knnen somit auch Befehle der Zentrale umsetzen. Sie stellen somit ein Messsystem nach EnWG 21 dar.Da es fr die Verwendung und den Einsatz von Smart Metern bisher keine gesetzlich vorgeschriebenen Standards oder Rahmenbedingungen gibt, herrscht eine gewisse Unsicherheit unter den Energieversorgern. Whrend Standards wie der IEC 62056-31 Euridis aus den 90er Jahren veraltet sind, weisen auf das Global Mobile System (GSM) aufbauende Standards das Problem auf, dass die bertragungstechnik nicht mehr als sicher gilt19. Smart Meter, die auf UMTS oder gar LTE20 basieren sind dato noch nicht weitgehend entwickelt. Damit ist auch das Aufspielen von Software Updates auf die Smart Meter weiterhin nicht ohne Umstnde mglich. Viele Hersteller neigen auerdem zu proprietren Standards, die auf ihre Gerte zugeschnitten sind. Ein einheitlicher, technisch aktueller Standard fr Smart Meter ist in naher Zukunft nicht absehbar. Die fehlende Standardisierung und Verwendung proprietrer Lsungen ist ein Risiko, da die Anwendungen anfllig werden fr Cyber Angriffe. Es fehlt zudem die Unabhngige Prfung des Standards gegen IT-Sicherheitsrisiken21.

    19 http://securityaffairs.co/wordpress/1086/cyber-crime/gsm-mobile-the-insecure- network.html

    20 LTE: 4G Mobilfunktechnik, Datenraten von bis zu 300Mbit/s, Authentifizierung und Verschlsselung mglich

    21 Nach Linus Law http://en.wikipedia.org/wiki/Linus%27s_law Gengend Tester finden alle Fehler. Mit ausreichend vielen Testern knnen bei offenen Standards und Systemen entsprechend viele Hintertren gefunden und beseitigt werden, die als

    http://en.wikipedia.org/wiki/Linus's_lawhttp://securityaffairs.co/wordpress/1086/cyber-crime/gsm-mobile-the-insecure-network.htmlhttp://securityaffairs.co/wordpress/1086/cyber-crime/gsm-mobile-the-insecure-network.html

  • 1. Smart Meter als Teil von Smart Home TechnikenDie steigende Verwendung sogenannter Smart Home Techniken, die eine Vernetzung des gesamten Haushaltes vorsehen (KNX, RWE) wird hufig von einer Verknpfung mit den Smart Metern begleitet, welche die Daten der Heimzentrale auslesen knnen. Es ist jedoch darauf zu achten, dass die im EnWG und BDSG gesetzten Richtlinien eingehalten werden. Ins Besondere bei Lsungen aus einer Hand, bei denen der Energieversorger auch die Technik des Smart Home stellt (bspw. RWE) muss die Schnittstelle Haushalt-Haus konkret abgegrenzt werden. Angriffe gegen die Heimtechnik oder das Smart Meter knnten sich sonst negativ auf eine weitere Ebene niederschlagen [DEFCON] [SMHT]. Entsprechende Anforderungen an die Sicherheit neuer Smart Meter wurden daher vom BSI ausgegeben und sollen in der neuen Generation von Smart Metern in Sicherheitsmodulen bercksichtigt werden [SSM] [BSI TR] [PP].Das gilt im gleichen Umfang auch fr industrielle Lsungen, bei denen Anlagensteuerung und Energieversorgungssysteme vom selben Hersteller geliefert werden. Der Schutz der Heimebene unterliegt jedoch dem Letztverbraucher.

    2. Kommunikationsnetze und -techniken fr Energieversorgungssysteme1. Funk

    Bei den verwendeten Mess- und Steuersystemen mittels Funkverbindungen musste festgestellt werden, dass eine umfangreiche Abhrsicherheit in den seltensten Fllen gegeben ist. Gerade GSM oder veralteten WLAN Modulen knnen seit Jahren erfolgreich angegriffen und entschlsselt werden. Aber auch neueren Installationen, die ber keine oder nur eine begrenzte Verschlsselung verfgen, sind fr Angriffe anfllig. Hier sollte dringend ber ausreichende Verschlsselung auf Datenbertragungsebene nachgedacht werden, die sowohl die Integritt der Daten als auch ihre Ursprung absichert. Andernfalls knnen erfolgreich Replay Attacken durchgefhrt werden, bei denen Steuerbefehle vom Angreifer abgefangen und erneut eingespielt werden. Solche Attacken knnen in Mobilfunknetzwerken, die bereits unter starker Auslastung stehen (siehe Innenstadtbereich) zu einer berlastung und gegebenenfalls zu einem Netzzusammenbruch fhren.Im Hinblick auf Software Updates und umfangreichen Datenverkehr zur Messung und Steuerung der Netze sollten hier neuere Techniken wie LTE genauer betrachtet werden.

    Einstiegsmglichkeiten dienen knnten.

  • 2. Power LineUnter Power Line Communication wird die Modulation von Nutzdaten auf das Stromnetz verstanden. Die im Heimbereich eingesetzte PowerLAN Technik wird zunehmend auf die Datenbertragung im Niederspannungsnetz angepasst und weiterentwickelt. Hierfr werden sogenannte Konzentratoren im Ortsnetz installiert, welche die Daten zusammenfassen und an die Zentrale schicken. Dadurch wird die Abhngigkeit des Kommunikationsnetzes vom Energienetz und vice versa zwingend. Der Ausfall eines Netzes fhrt unweigerlich zum Ausfall des anderen, was sich gerade fr die Netzsteuerung als kritisch erweist. Die redundante Auslegung der Technik im Ortsbereich ist wirtschaftlich jedoch schwer realisierbar [NERC]. Da es zudem keine Informationen ber die Datenauf- und verarbeitung in den Konzentratoren gibt, knnen keine Aussage ber die Sicherheit dieser Komponenten getroffen werden. Die Installation eines Gertes im Konzentrator, dass die Daten ausliest (Sniffer genannt), ist mit Fachwissen mglich. Die Gerte sind ffentlich zugnglich. Eine umfassende Abhrsicherheit kann zudem nur ber getrennte Stromkreise erzeugt werden. Andernfalls knnen auch Daten von Unbefugten hnlich wie bei der PowerLAN Technik daheim ausgelesen werden. Wie sich die hochfrequenten Spannungsschwankungen bei hohem Datenaufkommen auf Endkomponenten auswirken, ist bisher Stand der Forschung [HFPLC].

    3. Zusammenarbeit Kommunikationsnetz- und EnergieversorgungsnetzbetreiberWhrend der Erstellung der Arbeit stellte sich zudem immer fter heraus, dass viele kleine und mittelgroe Energieversorger zwingend auf die Verwendung der Kommunikationsnetze Dritter angewiesen sind, aber die Schnittstelle bei der Analyse und Meldung von Angriffen beidseitig kaum bis wenig beachtet wird. Zwar halten die Kommunikations- und Energienetzbetreiber Netzwarten am Laufen, die den Zustand ihrer Netze betrachtet und bei Ausfllen auch an die Kunden meldet, im seltensten Fall sind dabei aber die Art und Anzahl von Cyber-Angriffen bekannt. Es fiel darber hinaus auf, dass nur einige wenige Energieversorger effektiv die vom Bund und den Regulierungsbehrden zur Verfgung gestellten Mittel zur Umsetzung von IT-Grundschutz und Cyber-Angriffen verwenden und dementsprechend zertifiziert sind. IT-Grundschutz behandelt vor allem die elementaren Bedrohung und liefert somit eine umfassend Grundlage zum Schutz vor Bedrohungen der Infrastruktur (auch jenseits der IT). In Kombination mit dem Schutz vor Cyber-Angriffen deckt er damit einen Groteil grundlegender Bedrohungen zeitnah und aktuell ab. Da auch weiter oben genannte Probleme mit diesen beiden Techniken abgedeckt werden, empfiehlt sich hier ein weitere Analyse.

  • Schutz durch Information-Security-Management-SystemeUm einen umfassenden Schutz der Energieversorgungssysteme vor Cyber-Angriffe zu gewhrleisten, werden Schutzmanahmen durch IT-Sicherheitskonzepte zwingend notwendig. Hierfr gilt es Verfahren, Regeln und Managementkonzepten in einem Unternehmen zu definieren. Dieses Regelwerk wird als Information Security Management System (ISMS) bezeichnet.Ein Information Security Management System (ISMS, Managementsysteme fr Informationssicherheit) ist eine nach ISO/IEC 27001 normierte Sammlung von Regeln und Richtlinien zum Umgang mit der Informationssicherheit in einem Unternehmen. Es dient einer dauerhaften Definition, Steuerung, Kontrolle, Aufrechterhaltung und Verbesserung der Sicherheitsmanahmen [ISO-27001]. Da diese Regeln sehr generisch sind, knnen sie auf beliebige Geschftsbereiche und somit auch auf Energieversorgungsnetzen angewandt werden. Zur Untersttzung der Unternehmen wird seit 2006 ein an den ISO 27001 angepasster IT-Grundschutz-Katalog vom Bundesamt fr Sicherheit in der Informationstechnik ausgegeben, der besonderen Wert auf die Themen Vertraulichkeit, Integritt und Verfgbarkeit legt. Die Ziele eines ISMS fr Energieversorgungsnetze sind somit:

    eine umfassende Modellierung der IT-Umgebung des Geschftsbetriebes, in das auch Themen der Gebudesicherheit und des Notfallmanagements (Business Continuity Management) integriert werden und das auf Datenschutz besonderen Wert legt

    eine standardisierte, national anerkannte Durchfhrung, um Schnittstellen zu Drittanbietern bedienen zu knnen und um das Vertrauen in die Sicherheit zu steigern

    die Analyse der IT-Sicherheit anhand diese Modells und ntige Manahme gegen mgliche Schwachstellen zu finden

    eine Abdeckung der rechtlichen Aspekte hinsichtlich dem Betrieb eines Energieversorgungsnetzes

    eine mgliche (inter-)nationale Zertifizierung des Netzes.Auf internationaler Ebene liegen mit der ISO Standard Reihe 27000 eine Vielzahl an Normen zur grundlegenden Verwendung von ISMS vor. Von Bedeutung sind der IS027001, der die Begriffe und Definitionen genauer erlutert, der ISO27001 und ISO27002 mit den generische Schemata zur Umsetzungen von IT-Sicherheit sowie ISO27031 und ISO27032 bezglich Business Continuity Management und Cyber Security.

  • IT-GrundschutzDa die vom BSI ausgegeben Zertifikate ISO 27001 anhand IT-Grundschutz umfassender sind, als die ISO Normen fordern, werden im weiteren Verlauf daher die nationalen Pendants (BSI Standard 100-1 bis 100-4) sowie die IT-Grundschutz-Kataloge betrachtet. Durch den Wegfall einer initialen Risikoanalyse mit Unterteilung nach Schadenhhe und Eintrittswahrscheinlichkeit und Verwendung eines 3-Klassen-Schutzbedarfschemata ist der IT-Grundschutz zudem fr abstrakte Gefhrdungen besser handhabbar. Dadurch sind IT-Sicherheitsmanahmen und die Risikoanalyse auch ohne Expertenwissen durchfhrbar. Jedoch reichen die in den Grundschutzkatalogen vorgeschlagenen Sicherheitsmanahmen nur fr niedrigen und mittleren Schutzbedarf. Hoher und sehr hoher Schutzbedarf mssen durch weitere Sondermanahmen abgedeckt werden. Hierfr kann jedoch der BSI Standard 100-3 fr eine weitreichende Risikoanalyse herangezogen werden. Da die BSI Reihe 100-1 bis 100-4 de facto Standard fr den Umgang mit IT-Sicherheit in Deutschland sind, ist eine umfassende Marktanalyse fr verschiedene ISMS mit Blick auf die ISO 27001 mit keinem Mehrgewinn behaftet. Daher werden im Weiteren Verlauf nur verschiedene Tools betrachtet, mit denen Modelle entsprechend IT-Grundschutz erzeugt werden knnen.

  • Tools fr IT-Grundschutz Um das nach IT-Grundschutz vorgeschlagene ISMS zu modellieren, knnen verschiedene Hilfsmittel (eng. Tools) verwendete werden. Der mglichen Nutzen wird nach folgende Kriterien ermittelt:

    1. BedienbarkeitDa IT-Grundschutz auch ohne Fachwissen mglich ist, sollte die

    Bedienung des Tools fr Laien mglich sein.2. Interoperabilitt zu anderen (Dritt-)AnbieternDas Audit des Netzes erfolgt durch lizenzierte Auditoren, daher sollte

    das Extrahieren des Modells, die bergabe und das Kontrollieren auch mit anderen Tools mglich sein

    3. NormierungDas Tool sollte die vorgegebenen Normierungsrichtlinien einhalten und

    sich an den IT-Grundschutz-Katalogen orientieren.4. MarktdeckungUnterscheidung zwischen Nischenprodukten und marktgngigen Tools.5. Kosten6. Auswertbarkeit / Nutzen fr das Management Der Nutzen fr das Management durch die Analyse und Darstellung

    von Daten sollte gegeben sein, um den Einsatz der IT-Sicherheitsmanahmen rechtfertigen zu knnen.

    7. Aktualitt8. bersichtlichkeit

    Produkt Hersteller

    DHC Vision Information Security Manager 5.0*

    DHC Dr.Herterich&Consultants GmbH

    DocSetMinder GRC Partner GmbH

    GRC Suite iRIS Ibi research GmbH

    GSTOOL 4.7 BSI

    HiScout GRC Suite 2.0* HiScout GmbH

    I-doit pro Synetics GmbH

    Indart Professional Contechnet Ltd.

  • Opus BSI-Grundschutz* Kronsoft e.K.

    SAVe INFODAS GmbH

    Security Audit Secure IT Consult

    Sidoc Sicherheitsmanagement 9.0 2Net Carsten Lang

    Verinice 1.5.0* SerNet GmbH

    Verinice PRO 1.5.0* SerNet GmbH

    Die oben angefhrte Tabelle zeigt einen berblick ber die im Moment am Markt vertretenen, zu den BSI Grundschutz Standards kompatiblen ISMS. Die durch (*) gekennzeichneten Systeme sind dabei zudem kompatibel zum ISO 27001 und knnten fr die Untersttzung einer Multinorm-Zertifizierung herangezogen werden.Besonders hervorzuheben ist jedoch das offizielle Grundschutz-Tool des BSI GSTOOL, welches zur Zeit in der Version 4.7 vorliegt. Es ist streng an die IT-Grundschutzkataloge angelehnt und ist mit einer Marktprsenz von knapp 20.000Lizenzen das am weitesten verbreitete GSTOOL. Der Entwicklungsstand des GSTOOL 5 ist nach einer Abnahmeverweigerung22 derzeit unklar. Neben dem GSTOOL bieten die anderen ISMS vor allem mehr Flexibilitt und alternative Lsungsanstze, die gerade fr Marktnischen geeignet sind. Eine hohe Dynamik in der Weiterentwicklung, ins Besondere in Richtung Webanwendung, ist hierbei zu bemerken. Dadurch ergeben sich auch Mglichkeiten zur modularisierten Einbindung in IT-gesttzte Governance, Risk and Compliance (GRC) Systeme, welche der allgemeinen Untersttzung des Business Continuity Management dienen.Eine weiterfhrende, auf die Webprsenz der Hersteller fixierte Marktanalyse zeigte uns, dass der Vergleich der Tools und eine mgliche Kaufentscheidung nur schwer mglich ist. Ins Besondere ein Mangel an Demo Versionen machte den Vergleich schwer.

    22 http://it-sibe.de/2013/04/das-gstool-5-kommt-sicher-nicht/

    http://it-sibe.de/2013/04/das-gstool-5-kommt-sicher-nicht/

  • Produkt Vorteile Nachteile

    DHC Vision Information Security Manager 5.0*

    + IT Strukturanalyse nach BSI

    + Asset Management

    + grafische Visualisierung der Infrastruktur

    + Schutzbedarfsfeststellung

    + Durchfhrung ergnzender Risikoanalysen

    + Feststellung IT-Grundschutzanforderungen

    + Festlegunng von Terminen und Verantwortlichkeiten

    + Verlinkung IT-Grundschutz und Geschftsprozesse

    + modularer Aufbau

    + Demo

    - keine Versionierung / Historie vorhanden

    DocSetMinder + Verantwortlichkeiten werden erfasst

    + notwendige Dokumente werden berwacht

    + lckenlose Dokumentation

    + Umfangreiche Suchfunktion

    + Flexible und erweiterbare Vorlagen

    + Umfangreiche Integration nach IT-Grundschutz

    - existiert nur als Windows Client

    -

    GRC Suite iRIS + Vollstndige Darstellung gngiger IT Standards (CobiT, ISO 27002, IT Grundschutz)

    + Best Practice Dokumentenmanagement

    + Verschiedene Sichten auf Datenbasis (GRC, IT Revision, Security Management)

    - IT Grundschutzvorgehen wird nicht detailliert behandelt

  • + Individualisierte Auswertungen

    GSTOOL 4.9 BSI

    HiScout GRC Suite 2.0*

    + ISMS Prozesse sind umfangreich abgedeckt

    + Automatisierte Vererbung des Schutzbedarfs

    +Angepasste Templates fr Management und Audit

    + Auswahl zwischen ISO 27001 und/oder IT Grundschutz

    +Integration des GSTOOL in GRC Suite

    +Demo

    - Funktionen fr IT-Management nicht immer gegeben (Netzplne, Zugehrigkeiten...)

    I-doit pro + Aufstellung der eingesetzten IT-Systeme und Anwendungen sowie deren Zuordnung

    + Netzplan

    + Risikobeschreibung

    - keine Versionierung / Historie

    - keine Importfunktionalitt

    Indart Professional +Notfallplne

    +BSI 100-4 konform

    - zielt zu stark auf Notfallmanagement ab und weniger auf IT-Grundschutz

    Opus BSI-Grundschutz*

    + Erstellung Sicherheitskonzepte nach BSI Grundschutz auf ISO 27001 Basis

    + IT-Strukturanalyse

    + Modellierung der Verbundsobjekte

    + Kostenbearbeitung

    + Revisionsuntersttzung

    +Automatische Manahmenzuordnung zu ISO 27001 und ISO 27002

    + Arbeitsplan

    - Windowsbasiert

    SAVe + Erstellung von IT-Sicherheitskonzepten nach BSI-

    - keine erkennbaren

  • Grundschutz-Methodik

    + IT Strukturanalyse

    + erweiterte Risikoanalyse nach BSI 100-3

    + aktive Audit Untersttzung

    + Abbildung der Ergebnisse auf 27001

    + Kostenverfolgung Manahmenumsetzung

    + ...

    Security Audit + n.v, da rudimentre Umsetzung

    - Excel basiert

    - Grobe Analyse

    Sidoc Sicherheitsmanagement 9.0

    + Integration des IT-Grundschutzkataloge

    + Demo Version

    - keinerlei weitere Informationen mglich

    - veraltet (11.Ergnzungslieferung als Demo)

    - ungewohntes Handling

    Verinice 1.5.0*

    Verinice PRO 1.5.0*

    + Import /Export Funktion

    + Relevante Standards

    - nur bedingter Import von GSTOOL Datenbestnden

  • Aufbau eines ISMS

    Die obige Abbildung zeigt einen Ausschnitt der Risikoanalyse des GSTOOL 4.7. Bei der Risikoanalyse werden mgliche Gefhrdungen verschiedener Komponenten gelistet und hinsichtlich ihrer Auswirkungen bewertet. Am Baustein TestTSysClientUnix lsst sich erkennen, dass es sich um einen Client Rechner mit Unix Betriebssystem handelt. Diese Komponente unterliegt Gefhrdungen wie G 1.1 Personalausfall oder G 1.8 Staub, Verschmutzung. Da diese Komponenten hufig verwendet werden, die Gefhrdungen sich aber von Unix Client zu Unix Client nicht oder nur kaum ndern, spricht man im Rahmen des IT-Grundschutz auch von Bausteinen. Mehrere Bausteine werden zu einem IT Verbund zusammengefasst. Dieser IT Verbund kann ein gesamtes Unternehmen oder nur einen Teilbereich wie einen Auslandsstandort umfassen. Bei der Modellierung der Gefhrdungen greift das GSTOOL auf aktuelle Metadaten, die vom BSI gestellt werden, zurck. Dadurch ist die Aktualitt des eigenen IT Verbundes mit den BSI Grundschutzkatalogen gegeben.Ebenfalls zu erkennen, sind die einzelnen Stufen des Grundschutzes. Die Risikoanalyse kann beispielsweise erst nach der Modellierung erfolgen. In diesem Schritt wird der IT Verbund, die Zusammenhnge und

    Illustration 8: Beispiel eines ISMS (hier GS Tool 4.7)

  • Abhngigkeiten unter Gerten sowie individuelle Eigenschaften des Betriebsumfeldes erfasst. Der IT Grundschutz erlaubt zudem ber den Reiter Erweiterte Sicherheitsanalyse die Bewertung und Umsetzung von ber den Grundschutz hinausreichenden Manahmen wie hochverfgbare Rechennetze bei Banken. Ausgehend von den Gefhrdungen und den Eintrittswahrscheinlichkeiten mglicher Risiken knnen verschiedene Manahmen durchgefhrt werden, die der IT Grundschutz vorschlgt. Angefertigte Berichte ermglichen eine Zertifizierung sowie die Untersttzung der Entscheidungsfindung im hheren Management.

    Fazit

    Nach Installation mehrere Demoversionen verschiedener Tools und mehrwchigem Testen lassen sich die Ergebnisse wie folgt zusammenfassen:Ein Groteil der hier vorgestellten Tools implementiert den gewnschten IT-Grundschutz und sind nach einer geringfgigen Einarbeitungszeit und Studium der Handbcher auch fr Neulinge gut bedienbar. Durch Import/Exportkanlen stellen jedoch nur wenige Tools eine Interoperabilitt und Aktualitt gerade zu dem vom BSI gefhrten GSTOOL her. Dadurch wird eine Konzentration auf der GSTOOL weiter fokussiert und der Markt stark segmentiert in GSTOOL, GRC kompatible Tools und Nischenprodukte. Einige Tools fhren neben dem IT-Grundschutz auch weitere (inter-)nationale Standards in Feld und implementieren teilweise GRC-Strategien fr umfassendere Sicherheitsmanahmen. Der Nutzen fr das Management ist sowohl beim GSTOOL als auch den GRC kompatible Tools gegeben. Somit steht folgendes fest:

    Wenn ein umfangreiches, den nationalen Richtlinien zum IT-Grundschutz entsprechendes, in der Breite vertretenes Tool gewnscht ist, dass minimal angepasst werden muss und einen solide Sicherheitsstandard vertritt, dann fllt die Wahl auf das GSTOOL.

    Sofern ein hherer Umfang gewnscht ist, der auch weitere Standards implementiert und eine erweiterte Risikoanalyse zulsst, so kann auf DHC, SAVe oder OPUS zurckgegriffen werden. Diese bieten ber verschiedene Views und Module etliche Anpassungsmglichkeiten mit sich und knnen auf Energieversorger zugeschnitten werden

  • Sollte jedoch ein GRC Ansatz gewhlt werden, in dem IT-Grundschutz eine Rolle spielt, so sollte das HiScout Tool genauer betrachtet werden.

    Nichtsdestotrotz kann die Implementierung von IT-Grundschutz den hohen Sicherheitsbedrfnissen in Energieversorgungssystemen nicht gerecht werden. Bei der Demonstration und Modellierung der Energienetze immer wieder festgestellt werden, dass das Modell an seine Grenzen kommt, wenn es um gegenseitige Abhngigkeiten ging oder wenn die zustzliche Risikoanalyse sehr umfassend wurde. Selbst hnliche Module (Solar- und Braunkohlekraftwerk) wiesen unterschiedliche Ausfallrisiken auf, deren Abhngigkeit nicht immer trivial zu modellieren ist. Was passiert beispielsweise, wenn jemand nicht das Braunkohlekraftwerk direkt, sondern die Zulieferwege wie das Stellwerk fr eine Eisenbahntrasse angreift? Zudem mussten festgestellt werden, dass IT-Grundschutz ein sehr langwierige, dafr aber sehr solider Sicherheitsprozess ist. Die Aktualitt der Kataloge wird in fast jhrlichen Zyklen gewhrleistet, jedoch knnen Bausteine zu aktuellen Betriebssystemen oftmals 1 bis 1 Jahre in Anspruch nehmen. Um also kurzfristige Sicherheit zu gewhrleisten, muss neben dem IT-Grundschutz auch die Cyber-Sicherheitsstrategie [CYBER] und deren Papiere verwirklicht werden. Diese haben jedoch keine Modellierungsgrundlage im GSTOOL oder hnlichen Werkzeugen. Die Umsetzung des IT-Grundschutz nach BSI Standards ermglicht jedoch eine grundlegenden Sicherung gegen IT-Angriffe in der Breite verschiedener Sektoren kritischer Infrastrukturen. Zudem knnen Schnittstellen zwischen Telekommunikations- und Energieversorgern sowie Notfallkonzepte verbessert werden. Es folgt somit eine klare Empfehlung einer Umsetzung des IT-Grundschutzkonzeptes in Kritischen Infrastrukturen, da elementaren, weit verbreiteten Gefhrdungen entgegen gewirkt werden kann.

  • Schlusswort

    In dieser Arbeit wurde gezeigt, dass Energieversorgungssysteme und ihre herausragende Rolle unter den Kritischen Infrastrukturen immer mehr zum potentiellen Angriffsziele im Cyber War werden. Dabei sind die grundlegende Struktur der Energieversorgungsnetze und ihrer Kommunikationsnetze aufgezeigt, Parallelen und Abhngigkeiten erklrt und mgliche Schwachstellen identifiziert worden. Es wurde dargestellt, welche Datenquellen in den verschiedenen Netzebenen welche Informationen liefern und was mit deren Missbrauch angerichtet werden kann. Anschlieend wurde sich mit rechtlichen Richtlinien und technischen Herausforderungen bei der Umsetzung von Kommunikationskanlen in Energieversorgungsnetzen auseinandergesetzt. Aus diesen abgeleitet ergab sich der Bedarf des IT-Grundschutzes und die Frage, wie dieser modelliert werden kann. Es folgte eine Erluterung des IT-Grundschutz ist, wie er gegen Gefhrdungen eingesetzt werden kann, das Management untersttzt und welche Tools zur Modellierung offenstehen.Zudem ist aufgefallen, dass es bereits eine Vielzahl an Analysen zur Lage der Gefhrdung von Kritischen Infrastrukturen - ins Besondere von Energienetzen gibt, aber die Rolle der IT-Sicherheit dort noch nicht ausreichend behandelt wird. Die wenigen Analysen, die sich mit IT-Sicherheit befassen, verweisen darber hinaus auf die sehr generischen ISO Standards. Trotz der enormen Wichtigkeit werden kaum nationale Strukturen fr das Notfallmanagement geschaffen und stattdessen auf die selbstregulierende Kraft des Marktes gesetzt. In Deutschland gibt es mit dem Nationalen Lagezentrum in Bonn und den IT-Grundschutz Katalogen sowie der Cyber-Sicherheitsstrategie zwar Hilfe von nationaler Seite. Diese wird jedoch nur in einem Bruchteil der Deutschen Wirtschaft auch umgesetzt.Alles in allem wurde jedoch erkannt, dass mit der Umsetzung von IT-Grundschutz und den Cyber-Sicherheitsstrategie in Energieversorgungssystemen eine gemeinsame Basis gegen die Gefhrdung durch Cyber-Angriffe geschaffen werden kann, auf die weiterfhrende Sicherheitsmanahmen auch betriebsbergreifend aufgesetzt werden knnen.

  • Quellen:

    [BNA] http://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.html , Sicherheitsanforderungen der Bundesnetzagentur, vom 16.06.2013

    [BSI1001] Managementsysteme fr Informationssicherheit (ISMS), BSI-Standard 100-1, Version 1.5, Mai 2008, www.bsi.bund.de

    [BSI1002] IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 2.0, Mai 2008, www.bsi.bund.de

    [BSI1003] Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 100-3, Version 2.5, Mai 2008, www.bsi.bund.de

    [BSI1004] Notfallmanagement ,BSI-Standard 100-4, Version 1.0, Mai 2008, www.bsi.bund.de

    [BSI TR] Technische Richtlinie des BSI fr Kommunikationsmodule von Smart Metern, https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03109/index_htm.html vom 16.06.2013

    [COLLIER] The Vulnerability of Vital Systems: How Critical Infrastructure Became a Security Problem, Stephen J. Collier, Andrew Lakoff

    [CYBER] Cyber-Sicherheitsstrategie fr Deutschland, Bundesministerium des Innern

    [DEFCON] Video, Thema Smart Meter Hacking, http://www.youtube.com/watch?v=HeoCOVXRX0w vom 16.06.2013

    [EIAS] ENERGY INFRASTRUCTURE AND SECURITY, Alexander E. Farrell, Hisham Zerriffi,andHadi Dowlatabadi

    [ENWG] EnergieWirtschaftsGesetz, www.gesetze-im-internet.de/enwg_2005/ vom 16.06.2013

    http://www.gesetze-im-internet.de/enwg_2005/http://www.gesetze-im-internet.de/enwg_2005/http://www.youtube.com/watch?v=HeoCOVXRX0whttps://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03109/index_htm.htmlhttps://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03109/index_htm.htmlhttp://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.htmlhttp://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.htmlhttp://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.html

  • [FASE] The Financial Aspects of the Security of Assets and Infrastructure in the Energy Sector, Harnser Group of European Commission[FORECAST] Intelligent Energy management of electrical power systems with distributed feeding on basis of forecasts of demand and generation , Chr. Meisenbach. M. Hable, G. Winkler and P. Meier

    [HFPLC] A transmission line model for High-Frequency Power Line Communication Channel, H.Meng L.Guan, C.L.Law, P.L.So, E.Gunawan, T.T.Lie

    [ISO-27001] Information technology Security techniques Information security management systems Requirements

    [KRITIS] Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), Bundesministerium des Innern

    [KS] Katalog fr Sicherheitsanforderungen an das Betreiben eines Telekommunikation- und Datennetzes sowie fr die Verarbeitung personenbezogener Daten, Bundesnetzagentur

    [LORENZ] Kritische Infrastrukturen aus Sicht der Bevlkerung, Daniel F. Lorenz, M.A.

    [NERC] Protection System Reliability Redundancy of Protection System Elements, NERC Paper

    [PP] Protection Profile for the Gateway of a Smart Metering 1 System (Smart Meter Gateway PP), Bundesamt fr Sicherheit in der Informationstechnik

    [SCEI] Security Challenges for the Electricity Infrastructure, Massoud Amin

    [SPC] Security and Privacy Challenges in the Smart Grid, Patrick McDaniel, Sean W. Smith,

    [SSM] Secure Smart Meters, http://www.heise.de/newsticker/meldung/29C3-Hacker-erwarten-gespannt-die-neue-Smart-Meter-Generation-1775039.html

    [SMCS] Analysis of State-of-the-art Smart Metering Communication Standards,Klaas De Craemer, Geert Deconinck

    http://www.heise.de/newsticker/meldung/29C3-Hacker-erwarten-gespannt-die-neue-Smart-Meter-Generation-1775039.htmlhttp://www.heise.de/newsticker/meldung/29C3-Hacker-erwarten-gespannt-die-neue-Smart-Meter-Generation-1775039.html

  • [SMHT] Smart Meter Hacking Tool http://www.smartplanet.com/blog/smart-takes/researcher-releases-smart-meter-hacking-tool/27954

    [TAB] Regenerative Energietrger zur Sicherung der Grundlast in der Stromversorgung ,Bro fr Technikfolge-Abschtzungen beim Bundestag

    [TAB2] Was bei einem Blackout geschieht, Thomas Petermann, Harald Bradke, Arne Lllmann, Maik Poetzsch, Ulrich Riehm

    [WALLRAFF] Verfahren der Datenkommunikation fr Smart Meter, Sonja Wallraff

    [WDR] Dokumentation zur IT-Sicherheit im Rahmen der Fernsehsendung WDR Westpol, Sendung vom Sonntag, 18.November 2012, http://www.wdr.de/tv/westpol/sendungsbeitraege/2012/1118/itsicherheit.jsp

    http://www.wdr.de/tv/westpol/sendungsbeitraege/2012/1118/itsicherheit.jsphttp://www.wdr.de/tv/westpol/sendungsbeitraege/2012/1118/itsicherheit.jsphttp://www.smartplanet.com/blog/smart-takes/researcher-releases-smart-meter-hacking-tool/27954http://www.smartplanet.com/blog/smart-takes/researcher-releases-smart-meter-hacking-tool/27954

    InhaltsverzeichnisAbstractEinfhrungAufbau der Energieversorgungssysteme in DeutschlandDatenquellen in EnergieversorgungssystemenSchwachstellenanalyse

    Rechtlicher RahmenbedingungenTechnische ProblemeSmart Metering

    Schutz durch Information-Security-Management-SystemeIT-GrundschutzTools fr IT-GrundschutzAufbau eines ISMSFazit

    Schlusswort